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SlSTEMAS DE SEGURIDAD PARA QUEMADORES (BMSIS) 

Safety Note SN - 5031 

EVALUACION E IMPLEMENTACION DEL NlVEL SIL NECESARIO PARA QUEMADORES 



1. "Mitos" que siguen matando gente 

Continuando con el analisis planteado en la Nota de Seguridad "SN-3121, Funciones Instrumentadas 
de Seguridad para Quemadores de Calderas y Hornos" (Die. 2003), he visto la necesidad de 
analizar, en forma mas precisa y objetiva, el Nivel de Riesgo al que estan sometidas las personas 
que trabajan en la proximidad de Calderas y Hornos Industrials, habiendo observado que el analisis 
cualitativo, eminentemente subjetivo, utilizado por algunos responsables del diseno de Sistemas 
BMS (BMSIS), ha llevado a una subvaloracion de este Nivel de Riesgo en muchas instalaciones, lo 
cual ha derivado en accidentes catastroficos, con muchas personas muertas, como el caso de 
Algeria (27 muertos y decenas de heridos graves), hace apenas un ano, o el caso de Cordoba (4 
muertos), acaecido hace solo unos dias en nuestro pais. 

Y esto se debe, fundamentalmente, a la existencia de "mitos" que hacen que los Responsables de 
Ingenieria y/o de Seguridad de algunas empresas procedan en forma equivoca causando, sin 
quererlo, mucho mas dano del que creen estar evitando... 

Entre los muchos de estos "mitos" que hemos encontrado en los ultimos anos, podemos mencionar 
los que se ven con mayor frecuencia (se subrayan los falsos conceptos que favorecen la divulgacion 
del "mito"): 

1) "No es necesario utilizar un PLC especial para el Sistema de Seguridad. Es suficiente con utilizar 
un PLC de marca reconocida " 

o... "Es suficiente con usar un controlador aprobado por NFPA " 
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2) "Las explosiones de calderas no son tan frecuentes , ^por que habna de pasarnos justo ahora a 
nosotros?" 

3) "En nuestra planta no hay problema. En caso que se apague la llama siempre hay una persona 
que puede apretar el boton de emergencia " 

4) "Un Sistema de seguridad como el que pretenden las Normas es demasiado caro " 

5) "Por que debieramos poner ahora un Sistema diferente si hace anos que usamos este en todas 
nuestras calderas y nunca paso nada ? 

6) "Por que cambiar la forma en que siempre lo hicimos si nadie nos obliqa ? 

7) "Nosotros confiamos en nuestros proveedores. Si ellos no nos han dicho nada hasta ahora es 
porque no es necesario cambiar nada " 

No pretendo analizar en este momento cada uno de estos "mitos" pero si quiero reafirmar que son 
solamente eso, mitos (segun la Real Academia Espanola, "persona o cosa a las que se atribuyen 
cualidades o excelencias que no tienen, o bien una realidad de la que carecen"). 

Si pretendo con este articulo, fundamentar objetivamente la solucion correcta para proveer el Nivel 
de Reduccion de Riesgo apropiado para este tipo de aplicaciones. 

2. Diseho Conceptual de un Sistema de Seguridad para Quemadores (BMSIS) 

Ha quedado demostrado ampliamente, que el mayor riesgo al que esta sujeta una persona que 
desarrolla sus actividades en las proximidades de una Caldera (o de un Horno) Industrial, es la 
eventual explosion del hogar. 

A tal punto, que el tiempo maximo, establecido como mandatorio y prescriptivo por la Norma FM 
7605, para el cierre del paso de combustible en caso de detectarse la extincion de la llama del 
quemador, es de tan solo 4 segundos. 

Obviamente, para poder cumplir con esta prescripcion, es absolutamente necesario detectar en 
forma inmediata la extincion de la llama, procesar en el menor tiempo posible esta serial y cortar en 
forma efectiva el paso del combustible, en menos de 4 segundos. 
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Una falla en cualquiera de estas acciones podra producir una explosion del hogar de consecuencias 
muy graves o catastroficas, como las mencionadas anteriormente. 

Es decir, el BMSIS tiene que operar con "total certeza" (en ingles "certainty"), a fin de garantizar su 
accion protectora en forma rapida, confiable y segura, es decir, con Seguridad Funcional ("Functional 
Safety"). 

El Nivel de Integridad Segura (SIL) requerido para esta Funcion de Seguridad (SIF), dependera del 
nivel de riesgo tolerable establecido por el Usuario y del nivel de riesgo inherente al diseno de la 
Caldera (o del Horno). 

Pero, <|,que debe hacerse cuando el Usuario no tiene, no establece, o desconoce cual es el valor de 
riesgo tolerable en su Planta, o cuando el valor que este define es superior al nivel de riesgo 
aceptado por la legislacion vigente? 

Peor aun, ^que debe hacerse cuando no existe siquiera una definicion de riesgo aceptable en esta 
ultima? 

Existen a estas preguntas tres respuestas posibles: 

a) La caldera (o el horno) no podra ponerse en servicio (absurda). 

b) Podran emularse las medidas de seguridad utilizadas en otras calderas u hornos similares (con 
riesgo de subvalorar el verdadero Nivel de Riesgo, como ha sucedido en casos que derivan en 
accidentes graves como los mencionados en el punto 1). 

c) Deberan realizarse los estudios adecuados para implementar la solucion, utilizando las 
herramientas y practicas de ingenieria que hayan sido aceptadas internacionalmente 
sobre la base de la experiencia acumulada a lo largo de muchos anos y de muchos 
accidentes, es decir, seguir las Normas Internacionales de Prescripcion y de Peformance. 

Reiteramos entonces, que la unica forma de implementar un BMSIS que permita realmente 
prevenir la explosion de una Caldera (o de un Horno), es seguir "al pie de la letra" y 
simultaneamente, las Normas prescriptivas NFPA 85 (86), FM 7605 y FM 7610, asi como la 
Norma IEC 61511, "Seguridad Funcional para Industrias de Proceso". 
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Lamentablemente, la aplicacion de estas Normas no esta explicitamente indicada por las Leyes de 
nuestro pais, aunque uno de los principios basicos que establece la Ley 19587 de Higiene y 
Seguridad, es "la observancia de las recomendaciones internacionales en cuanto se adapten a las 
caractensticas propias del pais y ratificacion, en las condiciones previstas precedentemente, de los 
convenios internacionales en la materia". 

Por este motivo, es muy probable que posteriores Resoluciones de la SRT o del MTESS incluyan la 
obligatoriedad de seguir dichas prescripciones y recomendaciones. 

No obstante, considero muy importante que asumamos su utilizacion HOY aunque la Ley AUN no 
nos "obligue" a usarlas. 

Y es que tiene que ser nuestro principal objetivo, en el ambiente industrial donde se instalen y 
funcionen calderas y hornos, salvaguardar la vida humana (evaluando los Niveles de Riesgo e 
implementando los medios tecnicos necesarios para reducirlos en forma efectiva), a lo largo de 
todo el Ciclo de Vida de las instalaciones. 

3. Evaluacion del Nivel de Riesgo utilizando el Grafico de Riesgo Calibrado 

La Norma IEC 61511 establece que, cuando no sea posible calcular en forma precisa el Nivel de 
Riesgo, deberan utilizarse metodos que permitan aproximarse a este valor lo mas posible y 
"redondear hacia arriba", es decir, que ante la menor duda entre tomar un Nivel de Riesgo menor y 
otro mayor, se debera tomar siempre el Nivel de Riesgo mayor. 

Volviendo a nuestra propuesta del principio (es decir, la de encontrar la forma de aproximar 
cuantitativamente nuestro analisis a fin de evitar catastroficas "evaluaciones cualitativas" o 
"presunciones"), hemos elegido utilizar el metodo conocido como "Calibrated Risk Graph" (Grafico de 
Riesgo Calibrado), propuesto originalmente por la Norma IEC 61508 y recomendado por la Norma 
IEC 6151 1-3, "Guia para la Determinacion de los Requeridos Niveles de Integridad de la Seguridad". 



Evaluacion e Implementacion de Nivel SIL Necesario para Quemadores de Calderas y Hornos 



4 



Ricardo A. Vittoni - FSS 

Napoles 3139 - C1431DEA - Cdad. de Buenos Aires - Cel. (11) 15 4416-8977 - ravittoni@gmail.com 



El esquema de la pagina siguiente muestra el Grafico de Riesgo utilizado para calcular el Nivel de 
Riesgo del Operador de una Caldera Industrial y, consecuentemente, el Nivel SIL de la "SIF de shut- 
off de quemadores por apagado de llama" correspondiente. 

Al tratarse de un metodo semi-cualitativo (o semi-cuantitativo), los valores obtenidos deberan ser 
tornados como valores mmimos del Nivel SIL a implementar ("redondear hacia arriba"), a menos que 
estudios cuantitativos demuestren que este Nivel SIL pudiera ser inferior. 

Se asumen los siguientes valores tornados de la referencia citada (IEC 61511-3), para los 
parametros C (Consecuencia), F (Frecuencia), P (Probabilidad de Evitar el Dano) y W (Demanda): 

Wl W2 W3 



XI 




Consecuencia = Cc 

"Cc" significa que el dano fi'sico podra resultar entre el 10% de incapacidad y la muerte del 

Operador 

Frecuencia = F2 

"F2" significa que el Operador permanece en el area de peligro durante al menos el 10% de su 
tiempo de permanencia en Planta (considerando la probabilidad de una explosion, el area de 
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peligro sera suficientemente grande como para alcanzar incluso a otras personas, pero se considera 
solo el dano del Operador para simplificar el calculo). 

Probabilidad = P2 

"P2" significa probabilidad muy baja de evitar el dano al Operador (entre el 10% de incapacidad y 
la muerte, segun Cc), si el BMSIS fallara en su accion protectora (entre una de las cuatro 
condiciones que la IEC 61511 establece para determinar esta probailidad, se halla el tiempo que 
tendra el Operador para ponerse a salvo, el cual debera ser mayor que una hora para que esta 
probabilidad de evitar el dano pudiera considerarse como alta, es decir, P1 ). 

Demanda = W2 

"W2" es la frecuencia intermedia (ni muy alta ni muy baja) con que pudiera presentarse el peligro si 
no existiera el BMSIS, y que corresponde al rango comprendido entre 1 demanda por ano y 1 
demanda cada 10 anos (se considera que este valor es adecuado para una Caldera o un Horno, 
siempre y cuando el Sistema de Control Regulatorio opere adecuadamente y su diseno sea tal que 
evite la introduccion de condiciones de peligro adicionales, por ejemplo, durante el cambio de 
combustible en sistemas duales). 

Como puede verse en el grafico, el Nivel de Riesgo "X5" determinado por la combinacion de los 
parametros de riesgo Cc, F2 y P2 mencionados, para una frecuencia en la demanda de accion del 
sistema bastante conservadora, nos Neva a tener que utilizar una SIF de Nivel SIL 3. 

Aun si nos hubieramos equivocado en alguna de estas "aproximaciones", queda claramente visible 
en el grafico que el Nivel SIL se halla entre los valores SIL 2 y SIL 4 (cuyo valor "promedio" tambien 
esSIL3). 

Es decir, si nos hubieramos equivocado y el valor debiera ser SIL 4, no solo estanamos obligados a 
utilizar una SIF de Nivel SIL 3 sino que, ademas, debenamos implementar otros medios de 
prevencion independientes para poder cubrir este Nivel de Riesgo. 

Si, por el contrario, nos hubieramos equivocado y el valor debiera ser SIL 2, el equipamiento 
requerido y su instalacion serian practicamente los mismos, como veremos a continuation. 
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4. Implementacion de los Medios necesarios para reducir el Riesgo 

A fin de preservar la Seguridad Funcional del "lazo de seguridad" (SIF), la IEC 61511 nos da una 
guia acerca de cuantos elementos de campo se requieren para cada Nivel SIL, sobre la base de su 
"fraccion de falla segura", es decir, sobre que porcentaje de las fallas de un equipo se puede 
considerar que este no producira en si mismo una situacion de riesgo. 

Para comprender este concepto, tomemos por caso un Detector de Llama. 

Como este detector esta compuesto por circuitos electronicos (incluso los mas modernos utilizan 
microprocesadores), su funcionamiento esta sujeto a fallas que podran o no ser detectadas por el 
sistema de autodiagnostico del detector. 

Ante una duda de funcionamiento correcto, dicho sistema de autodiagnostico enviara una serial al 
Logic Solver del BMSIS que hara disparar la SIF de proteccion. 

Ahora bien: 

^Cuantas fallas, del total de fallas posibles de la electronica del detector, es capaz de detectar su 
sistema de autodiagnostico? 

^Cuantas de estas fallas, al no ser detectadas, podran "enganar" al BMSIS haciendole "creer" que 
esta todo bien y producir una explosion? 

La "fraccion de falla segura" (SFF) de un equipo nos permite predecir este comportamiento, sobre la 
base del cual la IEC 61511 pone a nuestra disposicion la siguiente tabla, que nos indica cuantos 
dispositivos (externos o internos) deberan utilizarse en el campo para garantizar una operacion 
segura: 

Para un Nivel SIL 2 -> Tolerancia a Fallas 1 
Para un Nivel SIL 3 -> Tolerancia a Fallas 2 

Lo cual significa que deberemos instalar, por ejemplo 2 6 3 detectores de llama en votacion, segun el 
Nivel SIL. 
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La Norma tambien establece que si puede demostrarse que los dispositivos cumplen con requisitos 
de performance y seguridad funcional, se podra mejorar (disminuir) la tolerancia a fallas requerida. 

Dicho en otras palabras, para una SIF de Nivel SIL 3 deberan utilizarse 3 detectores de llama 
simples, o dos detectores de llama de alta integridad compuestos, con "canales" 
independientes (UV+IR), como ya analizaramos en la SN-3121. 

Podemos hacernos entonces la pregunta "£que cambiana realmente en el campo si tuvieramos que 
pasar una 'SIF de shutoff por falta de llama' de Nivel SIL 2 a Nivel SIL 3?", la respuesta es 
"practicamente nada", es decir, utilizando elementos de la calidad adecuada, la solucion optima 
para cualquiera de los dos Niveles SIL, es utilizar como minimo, 2 elementos de deteccion de 
llama, preferiblemente duales y 2 valvulas de shutoff o sistemas de valvula de "Triple Efecto". 

d,Cambia entonces el Logic Solver que debemos utilizar? La respuesta es NO necesariamente. 

Si se esta utilizando un Logic Solver Failsafe que es solamente apto para SIL 2, su cambio por uno 

apto para SIL 3 implicara, en muchos casos, un gasto menor. 

Pero si estamos en la etapa de diseno, la seleccion de un Logic Solver FailSafe apto para SIL 3 
no implicara un costo adicional con respecto a uno que sea solo apto para SIL 2. 

La solucion optima para cualquiera de los dos Niveles SIL, es utilizar Logic Solvers con 
arquitectura dual 1oo2D (o Triple Redundantes 2oo3D, cuando el sistema requiera de muy alta 
disponibilidad), como tambien analizamos en la SN-3121. 

5. Conclusiones 

Asumamos, por todo lo expuesto, que DEBEMOS prescribir, para toda Caldera u Horno 
Industrial, la utilizacion de un BMSIS con capacidad para ejecutar lazos de seguridad de Nivel 

SIL 3, pues no existen razones tecnicas ni de costo para no hacerlo. 
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Si asi no lo hicieramos, correriamos el riesgo de ser nosotros mismos los culpables de un 
accidente que pudiera costar muchas vidas. 

Ricardo A. Vittoni - FSS 
Functional Safety Specialist 
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